DMARCbisの説明 - 何が変わり、どう準備すべきか

ブログ

DMARCbisはDMARCのオリジナル仕様をまもなく再定義します!何が変わるのか、どのように準備すればいいのかをご紹介します。

byユネス・タラダ

最終更新日:
4 読了時間:約4分
DMARCbisの説明 - 何が変わり、どう準備すべきか
目次-

ドメインベースのメッセージ認証、報告、適合性 (DMARC)プロトコルは、最初の発表以来、大幅な更新が行われている。DMARCbisとして知られる再定義された仕様は、まだ草案である。 まだ草案である、 は、電子メール認証における長年の課題に対処することを目的としています。DMARCbisは、電子メール認証における長年の課題に対処することを目的としています。

現在の状況インターネットドラフト 

フェーズラストコール

出版予定日未定 

廃止:RFC 7489および9091(承認された場合)

ソースDMARCbisドラフト

主なポイント

  • DMARCbisは、オリジナルのDMARCプロトコルの後継として更新されたもので、明確性と整合性の向上を目指している。 
  • これは、組織ドメインを識別するために、より信頼性の高いDNSツリーウォークでパブリックサフィックスリスト(PSL)を再定義するものである。
  • pct、rf、riのようなタグは、実装を簡素化し混乱を減らすために非推奨となっている。
  • psd、np、tといった新しいタグがいくつか導入され、パブリック・サフィックス・ドメインを明確に定義し、ポリシーの継承を管理するのに役立っている。
  • 後方互換性のため、DMARCレコードのバージョンはそのままです(v=DMARC1)。
  • 有効なベースドメインレコードを持つ既存のDMARC設定は、直ちに変更することなく機能し続けます。
  • PowerDMARCは、レコード管理を自動化し、専門家によるガイダンスを提供し、すべてのドメインにわたって可視性を提供することにより、移行を簡素化することができます。

DMARCbisとは何ですか?


DMARCbisは、以下の団体によって開発されたオリジナルのDMARC仕様の更新版である。 インターネット技術特別調査委員会 (インターネット技術タスクフォース)。の基礎の上に構築されている。 RFC 7489 そして RFC 9091 そして、承認されれば、それらを廃止し、プロトコルのあいまいさを明確にする改訂を導入する。その前身は 情報RFCDMARCbisは、以下のように公表される予定である。 提案規格これは、より広範なコンセンサスと業界の準備態勢を示すものである。

DMARCbisは主に、明確性、安全性、より良いドメインの整合性に重点を置く。再定義されたにもかかわらず v=DMARC1タグは変更されません後方互換性を維持する。

DMARCbisの主な変更点

特徴オリジナルのDMARCDMARCbis (新しい変更)
ドメイン検索方法パブリック接尾辞リスト(PSL)を使用DNSツリーウォークで再定義(ドメイン階層を縦断し、psd=yまたはpsd=nで停止)。最大8レベル。
タグPCT、RF、RIをサポートpct、ri、rfを削除(プロトコルを簡素化)。
新しいタグなしpsd(パブリック・サフィックス・ドメインを明示的にマーク)、np、tタグを追加。
政策の明確化政策継承に関するガイダンスなしドメイン所有者がpsdを介して継承を制御するための明確なルール。
仕様複雑、構造化されていない簡素化されたドキュメント、より良い例、用語。
互換性v=DMARC1レコード変更はない。

1.DNSツリーウォーク、公開サフィックスリストを再定義

パブリックサフィックスリスト(PSL)は、DNSネイティブのツリーウォーク方式で再定義され、組織ドメインを決定する。


DNSツリーウォークアルゴリズムは、ドメイン階層を横断して有効なDMARCレコードを見つけます。これにより、ドメインの境界がDNSでネイティブに定義され、サードパーティのサフィックスリストが不要になります。psd=y(パブリックサフィックスドメイン)またはpsd=n(組織ドメイン)タグを含む有効なDMARCポリシーレコードを見つけると、ウォークは停止します。これは、組織ドメインがどこにあるかをシステムに伝えます。 

そのようなポリシーが見つからなければ、検索は最大8レベルまで続けられる。

2.非推奨タグ

以下のタグは、プロトコルを合理化するために削除されます:

  • pct (パーセンテージベースのポリシー適用)
  • rf (レポート形式)
  • (報告間隔)

3.新しいタグと更新されたタグ

  • 新しい psdタグはパブリック・サフィックス・ドメインをより明確に定義し、ドメイン所有者がツリーウォークでポリシーの継承を制御するのに役立ちます。
  • タグは tタグは、ドメイン所有者がテスト段階にあり、ポリシー(p, sp, np)の完全な実施を望まない可能性があることを、受信者(バリデータ)に知らせるシグナルである。このタグはDMARCレポートの生成方法を変更するものではなく、すでにnoneに設定されているポリシーには影響を与えない。
  • 新しい npタグ(存在しないポリシー)は、存在しないサブドメイン(解決しないドメインやアクティブゾーンとして登録されていないドメイン)に適用するDMARCポリシーを指定します。

4.「完全参加」の条件

新しいガイドラインは、ドメイン所有者と受信者がDMARCを完全にサポートすることの意味を定義し、より明確な期待を設定し、相互運用性を向上させる。

5.仕様書フォーマットの改善

この文書は、より良い例、明確化された用語、すっきりとしたレイアウトで再構成され、すべての関係者にとって導入が容易になっている。

何が変わらないのか?

  • 既存のDMARCレコード v=DMARC1を使用した既存のDMARCレコードは有効です。
  • SPF、DKIM、およびアライメントに関する中核的なDMARCメカニズムは、依然として適用される。
  • ポリシータグ(p、sp、rua、ruf)はDMARC機能の中心であり続ける。

既存のDMARC導入への影響

DMARCbisのアップデートは後方互換性があり、既存のRFC 7489互換のデプロイメントには影響しません。新しいタグはオプションであるため、現在の設定は影響を受けません。DMARCが正しく設定されている場合、認証を効率化するためにレコードの監査を行うことを推奨しますが、直ちに対応する必要はありません。

DMARCbisの準備方法

しかし 変更は破壊的なものではないがしかし、企業は将来の電子メール・セキュリティ態勢を強化するための準備を始めるべきである。その方法は以下の通りである:

  1. DMARCレコードを見直す:現在のレコードを監査し、pctやrfのようなまもなく廃止されるタグが削除されていることを確認する。ベース(組織)ドメインが有効なDMARCポリシーを持っていることを確認する。
  2. ツリーウォークモデルを理解する: 新しい階層ベースのメカニズムのもとで、サブドメインが期待どおりにポリシーを継承することを確認します。複雑なセットアップの場合は、DNS Tree Walkロジックをシミュレートして動作を確認してください。
  3. psdタグについて考えてみましょう:psd=nまたはpsd=yをよく理解し、ドメイン構造上必要であれば、ドメイン境界を明示的に定義する。
  4. セキュリティチームの教育:Eメールチームとセキュリティチームに今後の変更点を認識させ、認証と配信可能性への影響を理解させましょう。

PowerDMARCはどのように役立つか

PowerDMARCは、自動化、可視化、専門家によるガイダンスの組み合わせにより、企業がDMARCbisにシームレスに移行できるよう支援します。 

  • メール認証ダッシュボードによるDMARC、SPF、DKIMのセットアップと管理の自動化 
  • Eメールチャネルを完全に可視化する簡素化されたレポート 
  • シームレスなポリシーのアップグレードと記録の最適化を実現するホスト型ソリューション
  • 専任の専門家チームが、問題や変更をリアルタイムでナビゲートします。

DMARCを簡素化する準備はできましたか? PowerDMARCまでお問い合わせください!

最終的な感想 

DMARCbisは、特にサブドメインのDMARCポリシーを個別に管理したい場合に、より柔軟で明確、かつコントロールしやすい。緊急に対応する必要はありませんが、より良いドメイン認証管理のために必要な準備をすることができます。

CTA

最新記事 by Yunes Tarada(全て見る)
最終更新日:
DMARC MSPケーススタディ:1-MSPがクライアントのセキュリティとブランド・アイデンティティを高める...1MSPパワードマルク・サクセスストーリーコールドメールのDMARC:なし、隔離、拒否?(DMARCのベストポリシー